用acme.sh自动部署域名证书
<h1 id="用acmesh自动部署域名证书">用acme.sh自动部署域名证书</h1><h2 id="安装acme">安装ACME</h2>
<p>目前使用量最大的免费<code>SSL</code>证书就是<code>Let’s Encrypt</code>,自<code>2018-03</code>开始,<code>Let’s Encrypt</code>官方发布上线了免费的<code>SSL</code>泛域名证书,目前通过<code>DNS</code>方式获取比较快,国内可以通过鹅云的<code>DNSPod</code>域名<code>API</code>或者猫云域名<code>API</code>自动签发<code>Let’s Encrypt</code>泛域名证书。因为鹅云使用的就是<code>DNSPod</code>域名,并且鹅云和DNSPod的账号是打通的,可以使用<code>wx</code>直接扫码登录。下文需要对鹅云和<code>DNSPod</code>进行操作,为了简化证书申请过程,需要提前安装acme.sh。<code>acme.sh</code>实现了<code>acme</code>协议,可以从<code>Let’s Encrypt</code>生成免费的证书,自动创建<code>cron</code>任务, 每天零点自动检测所有的证书,如果发现证书快过期了,需要更新,则<code>acme.sh</code>会自动更新证书,安装过程不会污染已有的系统任何功能和文件,所有的修改都限制在安装目录中。</p>
<p>先进行依赖下载和更新。如果服务器是<code>CentOS</code>系统,使用下面的命令:</p>
<pre><code class="language-shell">yum update && yum install curl -y && yum install cron -y && yum install socat -y
</code></pre>
<p>如果服务器是<code>Debian/Ubuntu</code>系统,则使用下面的命令:</p>
<pre><code class="language-shell">apt-get update && apt-get install curl -y && apt-get install cron -y && apt-get install socat -y
</code></pre>
<h2 id="1-安装-acmesh">1. 安装 <strong>acme.sh</strong></h2>
<p>安装很简单, 一个命令:</p>
<pre><code class="language-shell">curl https://get.acme.sh | sh -s email=yourEmail
</code></pre>
<p>配置自动解析</p>
<p>以 dnspod 为例, 你需要先登录到 dnspod 账号, 生成你的 api id 和 api key, 都是免费的。</p>
<p><img src="https://cdn.zhaifanhua.com/blog/img/202211300049391.png" alt="image-20221128121438606" loading="lazy">然后配置:</p>
<pre><code class="language-shell">export DP_Id="apiid"
export DP_Key="apikey"
</code></pre>
<h2 id="2-生成证书">2. 生成证书</h2>
<h3 id="手动-dns-方式-手动在域名上添加一条-txt-解析记录-验证域名所有权">手动 dns 方式, 手动在域名上添加一条 txt 解析记录, 验证域名所有权。</h3>
<p>这种方式的好处是, 你不需要任何服务器, 不需要任何公网 ip, 只需要 dns 的解析记录即可完成验证. 坏处是,如果不同时配置 Automatic DNS API,使用这种方式 acme.sh 将无法自动更新证书,每次都需要手动再次重新解析验证域名所有权。</p>
<pre><code class="language-shell">~/.acme.sh/acme.sh --issue --dns -d zhaifanhua.com -d *.zhaifanhua.com --yes-I-know-dns-manual-mode-enough-go-ahead-please
</code></pre>
<p>然后, <strong>acme.sh</strong> 会生成相应的解析记录显示出来, 你只需要在你的域名管理面板中添加这条 txt 记录即可.</p>
<p><img src="https://cdn.zhaifanhua.com/blog/img/202211300049392.png" alt="image-20221128120542715" loading="lazy"></p>
<p>验证解析生效:</p>
<p><img src="https://cdn.zhaifanhua.com/blog/img/202211300049393.png" alt="image-20221128150010468" loading="lazy"></p>
<pre><code class="language-shell">nslookup -q=txt _acme-challenge.zhaifanhua.com
</code></pre>
<p><img src="https://cdn.zhaifanhua.com/blog/img/202211300049394.png" alt="image-20221128150252182" loading="lazy"></p>
<p>等待解析完成之后, 重新生成证书:</p>
<pre><code class="language-shell">~/.acme.sh/acme.sh --force --renew -d zhaifanhua.com -d *.zhaifanhua.com --yes-I-know-dns-manual-mode-enough-go-ahead-please
</code></pre>
<p><img src="https://cdn.zhaifanhua.com/blog/img/202211300049395.png" alt="image-20221128120812869" loading="lazy"></p>
<p><img src="https://cdn.zhaifanhua.com/blog/img/202211300049396.png" alt="image-20221128120833039" loading="lazy"></p>
<h2 id="3-copy安装-证书">3. copy/安装 证书</h2>
<p>前面证书生成以后, 接下来需要把证书 copy 到真正需要用它的地方:</p>
<p><img src="https://cdn.zhaifanhua.com/blog/img/202211300049397.png" alt="image-20221128124635187" loading="lazy"></p>
<p>注意, 默认生成的证书都放在安装目录下: <code>~/.acme.sh/</code>, 请不要直接使用此目录下的文件, 例如: 不要直接让 nginx/apache 的配置文件使用这下面的文件. 这里面的文件都是内部使用, 而且目录结构可能会变化。</p>
<p>正确的使用方法是使用 <code>--install-cert</code> 命令,并指定目标位置, 然后证书文件会被copy到相应的位置, 例如:</p>
<h3 id="nginx">Nginx:</h3>
<p>执行命令,这里指定的所有参数都会被自动记录下来, 并在将来证书自动更新以后, 被再次自动调用。</p>
<p>配置 Nginx 文件:</p>
<p><img src="https://cdn.zhaifanhua.com/blog/img/202211300049398.png" alt="image-20221128130528181" loading="lazy"></p>
<p>这里我将其配置到了 /home/ssl 目录下,zhaifanhua.com_key.key 和 zhaifanhua.com_cert.pem 分别是私匙和证书名称,可自定义。</p>
<pre><code>~/.acme.sh/acme.sh --install-cert -d zhaifanhua.com -d *.zhaifanhua.com --key-file /home/ssl/zhaifanhua.com_key.key --fullchain-file /home/ssl/zhaifanhua.com_fullchain.cer --reloadcmd "service nginx force-reload"
</code></pre>
<p><img src="https://cdn.zhaifanhua.com/blog/img/202211300049399.png" alt="image-20221128131040621" loading="lazy"></p>
<blockquote>
<p>(一个小提醒, 这里用的是 <code>service nginx force-reload</code>, 不是 <code>service nginx reload</code>, 据测试, <code>reload</code> 并不会重新加载证书, 所以用的 <code>force-reload</code>)</p>
<p>Nginx 的配置 <code>ssl_certificate</code> 使用 <code>/etc/nginx/ssl/fullchain.cer</code> ,而非 <code>/etc/nginx/ssl/<domain>.cer</code> ,否则 SSL Labs 的测试会报 <code>Chain issues Incomplete</code> 错误。</p>
<p><code>--install-cert</code>命令可以携带很多参数, 来指定目标文件. 并且可以指定 reloadcmd, 当证书更新以后, reloadcmd会被自动调用,让服务器生效。</p>
<p>详细参数请参考: https://github.com/Neilpang/acme.sh#3-install-the-issued-cert-to-apachenginx-etc</p>
</blockquote>
<p>显示 Reload success 表示成功!</p>
<p><img src="https://cdn.zhaifanhua.com/blog/img/202211300049400.png" alt="image-20221128131134054" loading="lazy"></p>
<h2 id="4-查看已安装证书信息">4. 查看已安装证书信息</h2>
<h3 id="查看删除证书">查看/删除证书</h3>
<p>查看证书</p>
<pre><code>~/.acme.sh/acme.sh --list
</code></pre>
<p>删除证书</p>
<pre><code>~/.acme.sh/acme.sh remove <SAN_Domains>
</code></pre>
<p>查看信息</p>
<pre><code class="language-shell">~/.acme.sh/acme.sh --info -d zhaifanhua.com -d *.zhaifanhua.com
</code></pre>
<p><img src="https://cdn.zhaifanhua.com/blog/img/202211300049401.png" alt="image-20221128134334244" loading="lazy"></p>
<h2 id="5-更新证书">5. 更新证书</h2>
<p>目前证书在 60 天以后会自动更新, 你无需任何操作. 今后有可能会缩短这个时间, 不过都是自动的, 你不用关心.</p>
<p>请确保 cronjob 正确安装, 看起来是类似这样的:</p>
<pre><code>crontab-l
*/5 * * * * flock -xn /tmp/stargate.lock -c '/usr/local/qcloud/stargate/admin/start.sh > /dev/null 2>&1 &'
0 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
</code></pre>
<h2 id="6-关于修改reloadcmd">6. 关于修改ReloadCmd</h2>
<p>目前修改<code>ReloadCmd</code>没有专门的命令,可以通过重新安装证书来实现修改<code>reloadCmd</code>的目的。 此外,安装证书后,相关信息是保存在<code>~/.acme.sh/example.com/example.conf</code>文件下的,内容就是<code>acme.sh --info -d example.com</code>输出的信息,不过<code>ReloadCmd</code>在文件中使用了Base64编码。理论上可以通过直接修改该文件来修改<code>ReloadCmd</code>,且修改时,无需Base64编码,直接写命令原文<code>acme.sh</code>也可以识别。 不过,<code>example.conf</code>文件的位置和内容格式以后可能会改变!<code>example.conf</code>一直都是内部使用, 后面有可能会改为用 sqlite 或者mysql 格式存储. 所以一般不建议自己修改。</p>
<h2 id="7-更新-acmesh">7. 更新 acme.sh</h2>
<p>目前由于 acme 协议和 letsencrypt CA 都在频繁的更新, 因此 acme.sh 也经常更新以保持同步.</p>
<p>升级 acme.sh 到最新版 :</p>
<pre><code>acme.sh --upgrade
</code></pre>
<p>如果你不想手动升级, 可以开启自动升级:</p>
<pre><code>acme.sh --upgrade --auto-upgrade
</code></pre>
<p>之后, acme.sh 就会自动保持更新了.</p>
<p>你也可以随时关闭自动更新:</p>
<pre><code>acme.sh --upgrade --auto-upgrade0
</code></pre>
<h2 id="8-出错怎么办">8. 出错怎么办:</h2>
<p>如果出错, 请添加 debug log:</p>
<pre><code>acme.sh --issue.....--debug
</code></pre>
<p>或者:</p>
<pre><code>acme.sh --issue.....--debug2
</code></pre><br><br>
来源:https://www.cnblogs.com/zhaifanhuablog/p/16937233.html
頁:
[1]